L’ottanta per cento dell’infrastruttura digitale europea dipende da fornitori extraeuropei, eppure il dibattito sulla sovranità dei dati è stato finora prevalentemente normativo.
Un recente caso giudiziario pone la questione in termini brutalmente concreti: che valore ha conservare i dati nel territorio europeo se un tribunale straniero può ordinarne la consegna?
Un Tribunale dell’Ontario ha, infatti, ordinato alla filiale canadese di un importante cloud provider europeo di consegnare dati di clienti ospitati su server ubicati fisicamente in Europa, aggirando i trattati di assistenza legale reciproca (MLAT) vigenti tra Canada e Francia. Se, infatti, non vi sono dubbi che la filiale canadese del provider europeo è soggetta ad un ordine della Corte canadese, essa non può però accedere né legalmente né tecnicamente ai dati contenuti nei server della casa madre francese.
La decisione canadese, peraltro già impugnata, che espone il provider a sanzioni penali ai sensi del diritto francese, non è soltanto una controversia bilaterale: è il sintomo di una vulnerabilità strutturale del sistema europeo di protezione dei dati personali e non personali. E ciò nonostante l’esistenza, appunto, di trattati internazionali.
Il punto sottostante è semplice e, proprio per questo, inquietante: la localizzazione fisica dei dati nel territorio dell’Unione Europea non basta o può non bastare a garantirne la protezione. Ciò che conta non è dove i dati risiedono, ma chi ha il potere giuridico di accedervi. Un provider europeo con filiali in giurisdizioni terze può trovarsi stretto tra obblighi incompatibili: ottemperare a un ordine straniero violando il diritto europeo, oppure resistere subendo le conseguenze nel Paese richiedente. È la trappola in cui si è trovato il provider francese, ma nella quale può cadere qualsiasi operatore cloud con una presenza societaria internazionale.
Questo scenario non è nuovo. Il CLOUD Act statunitense del 2018 impone già ai provider americani di consegnare dati indipendentemente dalla loro ubicazione, in potenziale conflitto con l’articolo 48 del GDPR, che ammette ordini giudiziari di Paesi terzi solo se fondati su trattati di assistenza reciproca.
Il caso canadese aggiunge un tassello: il problema non riguarda soltanto i big tech americani. Qualsiasi Paese terzo può sfruttare il legame con una filiale locale per scavalcare il diritto internazionale. È in questo contesto che va valutato lo stato reale della sovranità digitale europea.
L’Unione ha costruito un “arsenale normativo” significativo per la tutela dei dati personali e non personali tra cui alcune limitazioni o garanzie sul trasferimento dei dati personali in Paesi extraUE o sull’accesso governativo extraeuropeo ai dati detenuti nell’UE (si veda ad esempio il Data Governance Act o il GDPR o, ancora, il Data Act). A questo si aggiunge il dibattito sull’EUCS, lo schema di certificazione europeo per i servizi cloud, dove diversi Stati membri insistono per requisiti che impongano ai provider l’indipendenza da ordinamenti extraeuropei. Analogamente il Cloud Sovereignty Framework, presentato a ottobre 2025 dalla Commissione Europea, si propone di valutare le modalità con cui un fornitore di servizi cloud assicuri che le proprie prestazioni rispettino i principi di autonomia strategica europea, mettendo a disposizione uno strumento operativo per la valutazione della sovranità digitale. Tutte queste normative affrontano ciascuna un pezzo del puzzle, ma nessuna risolve in modo certo e definitivo il nodo centrale: la capacità di giurisdizioni terze di aggirare l’intero impianto attraverso la struttura societaria dei provider.
Alle fragilità giuridiche si sommano ostacoli economici e infrastrutturali concreti. AWS, Microsoft Azure e Google Cloud controllano circa i 2/3 del mercato cloud europeo; i provider europei, sommati, si stima che raggiungono appena poco più che il 10%. A rendere il quadro più complesso è la corsa all’intelligenza artificiale, dominata ancora una volta da player americani e cinesi. Tale scenario ha inoltre determinato un’impennata della domanda di capacità di calcolo e un conseguente aumento dei costi dei componenti: i prezzi delle memorie DRAM per server hanno infatti registrato un incremento sensibile nell’ultimo anno. Per le imprese europee il risultato è un dilemma pratico: adottare soluzioni integralmente europee significa spesso accettare costi più elevati; optare per sistemi misti — infrastruttura europea con servizi applicativi americani — comporta costi di integrazione e, come il caso canadese dimostra, non elimina il rischio giurisdizionale.
Eppure, sono proprio le preoccupazioni geopolitiche a imprimere un’accelerazione al cambiamento. La Francia ha vietato ai propri funzionari l’uso di Google Meet, Zoom e Microsoft Teams, imponendo la migrazione verso Visio, una piattaforma sviluppata internamente e ospitata su infrastrutture nazionali. In Germania, il Land dello Schleswig-Holstein ha completato la migrazione di decine di migliaia dipendenti pubblici a LibreOffice e Linux. Analogamente ha fatto l’Austria in ambito militare rimuovendo Microsoft Office o la Danimarca sta migrando verso alternative open source. Anche il nostro Paese ha avviato processi analoghi di migrazione, seppure a “macchia di leopardo”. Non si tratta di scelte ideologiche: sono risposte pragmatiche di amministrazioni che hanno concluso di non poter garantire la riservatezza dei propri dati su piattaforme soggette a giurisdizioni extraeuropee. L’open source, in questa prospettiva, non è un’utopia tecnologica ma lo strumento forse più maturo per ricostruire il controllo sulla catena del valore digitale. Una scelta che, in ogni caso, presenta anch’essa delle criticità.
Sarebbe ingenuo pensare che l’Europa possa raggiungere una sovranità digitale totale nel breve-medio periodo. La dipendenza da hardware, semiconduttori e capacità di calcolo extraeuropei è troppo profonda per essere eliminata con un atto normativo. Ma il caso del provider francese chiarisce che il modello attuale — fondato sulla localizzazione fisica dei dati come garanzia sufficiente — può essere inadeguato. La direzione è segnata dalle scelte concrete degli Stati membri: non autarchia, ma progressiva riduzione delle dipendenze critiche e investimento in infrastrutture sottratte, ove possibile, alla portata di giurisdizioni terze. Per le imprese europee, la lezione è chiara: nella scelta di un fornitore cloud, la conformità normativa non basta più — occorre valutare chi, e da dove, può bussare alla porta dei dati.
_______
*Avv. Valerio Vertua, partner di 42 Law Firm